Кратко — да, всё делается, но выбор решения зависит от двух вещей: 1) есть ли у вас «настоящий» публичный IPv4 у домашней сети (или вы в CGNAT), и 2) насколько важна «невидимость»/устойчивость к блокировкам. Ниже — варианты, плюсы/минусы, практические шаги и реальные наблюдения.
1) Первые проверки
- Уточните у провайдера, есть ли публичный IP и статический ли он. Если CGNAT — прямой вход к дому невозможен (через роутер), придётся либо просить у провайдера публичный IP, либо использовать обходные варианты (реверс‑туннель через VPS / Mesh VPN типа Tailscale/ZeroTier).
- Проверьте скорость загрузки/отдачи и лимиты — для удалённого рабочего места важна отдача (upload).
- Решите, нужен ли весь трафик рабочего ПК через российский IP или только доступ к локальным ресурсам (файлы, внутренние сервисы).
2) Варианты архитектуры и их плюсы/минусы
A. Роутер (WireGuard) — рекомендую как базовый вариант
- Что даёт: VPN сервер на роутере — все/нужные устройства могут подключаться и работать «в сети дома». Лёгкая конфигурация split‑tunnel (route только нужных адресов) или full‑tunnel.
- Плюсы: VPN работает на уровне сети, не нужно держать постоянно включённый мини‑ПК; простая настройка и высокая скорость (WireGuard лёгкий и быстрый).
- Минусы: если провайдер блокирует UDP/порта или вы в CGNAT — проблемы. Также WireGuard по умолчанию «чистый» и при целевой DPI может быть обнаружен/блокирован; можно обойти, пробросив его через TCP/obfs, но это сложнее.
Практика: на OpenWRT/AsusMerlin/pfSense WireGuard очень стабилен. Для Windows-клиента можно задать AllowedIPs = только подсети дома (например 192.168.0.0/24) и/или конкретные IP, чтобы не гонять весь трафик через дом.
B. Мини‑ПК как «аналог VPS» — xray (VLESS/Vmess) + reality/obfs
- Что даёт: реже блокируется DPI (реality/obfs имитируют TLS/QUIC и сложнее отличимы). Можно поднять прокси (SOCKS/HTTP) и по правилу в браузере/приложении направлять только нужный трафик через российский IP.
- Плюсы: устойчива к блокировкам, гибкая маршрутизация (через proxy-профили или PAC-файлы), хороший выбор для обхода таргетированных блокировок.
- Минусы: вам нужен публичный IP или обратный туннель; если хотите «полностью работать через него» (весь трафик рабочего ПК) — придётся на клиенте либо настраивать системный прокси/туннель (что неудобно), либо делать VPN поверх xray (сложно). Настройка сложнее, поддержка — требует умения.
Практика: reality и VLESS в большинстве случаев проходят DPI лучше обычного WireGuard/SSH. Но управление правилами на клиенте может быть неудобно, поэтому часто ставят локальную виртуальную машину/браузер с прокси.
C. Мини‑ПК с полноценной Windows (RDP) — подключение к Windows RDP через VPN
- Что даёт: простой опыт «работаешь на домашнем десктопе». Но RDP не выставлять в интернет напрямую.
- Рекомендация: комбинировать с VPN (WireGuard/Tailscale) — подключились к VPN, потом RDP по внутреннему IP. Это безопасно и удобно.
- Минусы: Windows требует больше ресурсов и ухода; RDP «в открытом виде» рискован; VPN обязателен.
D. Обход CGNAT / отсутствие публичного IP
- Попросить публичный IP у провайдера (лучше статический).
- Использовать реверс‑туннель: домашний сервер инициирует исходящее соединение к VPS в России; вы подключаетесь к VPS и оттуда пересылаете на дом. Минус — нужен VPS в России (платный) и дополнительная точка отказа.
- Использовать Mesh‑VPN (Tailscale/ZeroTier): проходит NAT traversal (может работать за CGNAT). Tailscale поддерживает exit‑node — можно сделать домашний компьютер exit‑node и тем самым выходить в интернет через домашний IP. Очень удобный и быстрый способ с минимальной настройкой.
Практика: Tailscale — самый «безболезненный» путь, если вам не принципиален полный контроль над транспортом; он надёжно обеспечивает доступ и NAT traversal, но часть трафика может идти через DERP-серверы в зависимости от сети. ZeroTier аналогично.
3) Практические шаги для двух ваших вариантов
Вариант 1: xray+reality на мини‑ПК (Proxy)
- Требования: публичный IP или реверс‑туннель/VPS.
- Шаги:
1. Установите xray и настройте сервер с reality transport (генерируйте ключи и конфиг).
2. Подключите сертификат/сделайте домен (динамический DNS) для удобства.
3. На клиенте — настроить профиль (VLESS/Vmess) и использовать либо системный прокси (Socks5), либо браузерный прокси.
4. Для удобства и безопасности — используйте split‑tunnel: через прокси только рабочие ресурсы (по списку, PAC), остальное локально.
- Безопасность: ограничьте количество одновременных подключений, ставьте ACL, обновляйте xray.
Вариант 2: Windows‑машина + VPN
- Требования: VPN сервер (на роутере или мини‑ПК) + публичный IP или NAT traversal.
- Шаги:
1. На роутере/мини‑ПК разверните WireGuard (или OpenVPN). WireGuard проще и быстрее.
2. Настройте DNS (динамический DNS).
3. На клиенте подключаетесь к VPN, потом RDP к внутреннему IP Windows.
4. Для безопасности — включите RDP через Gateway/SSL, используйте 2FA/пароли, брандмауэр.
- Split‑tunnel: в конфиге WireGuard укажите AllowedIPs, чтобы не гонять весь трафик, если не нужно.
4) Конфигурация split‑tunnel (избежать проксирования всего трафика)
- WireGuard: в AllowedIPs указываете только локальные подсети (например 192.168.1.0/24) и/или IP нужных ресурсов; тогда остальной трафик идёт локально.
- Прокси (xray/ssh): используйте SOCKS5/HTTP-прокси и PAC‑файл или прокси‑расширение в браузере, чтобы направлять только нужные сайты/адреса через российский IP.
- Windows RDP: VPN соединение + RDP — работает только через VPN, не требует туннелирования всего трафика.
5) Безопасность и надёжность
- Не выставляйте RDP/Windows напрямую в интернет. Всегда через VPN или защищённый туннель.
- Используйте ключи (WireGuard) или сертификаты (OpenVPN, xray), отключайте пароли/root login для SSH.
- Ограничьте доступ по IP, включите fail2ban/FireHOL или аналог.
- Регулярно обновляйте систему и делайте бекапы.
- Мониторьте uptime и автоматический рестарт сервисов при падении.
6) Практические заметки/опыт
- Установка WireGuard на Asus/GL.iNet/OpenWRT дала стабильную, малозаметную работу. Если провайдер не режет UDP — это лучший выбор.
- Если провайдер режет UDP или применяет DPI, xray с reality чаще проходит, чем «голый» WireGuard/SSH.
- Tailscale/ZeroTier — быстрое решение без лишних танцев с портами и подходит, если не принципиально, чтобы трафик полностью шёл через «публичный» российский IP (но можно сделать exit‑node).
- Если вам принципиален именно российский исходящий IP для интернет‑трафика — единственный надёжный путь: публичный IP дома + full‑tunnel VPN (или выставленный прокси). Альтернативно — VPS в России, но в таком случае выходной IP будет IP VPS, а не вашего домашнего канала.
- Качество удалённой работы зависит от upload скорости дома и задержки; мини‑ПК должен быть включён и подключён постоянно.
7) Рекомендация (порядок действий)
1. Уточните публичный IP у провайдера. Если нет — решите: попросить IP или использовать Tailscale / реверс‑туннель.
2. Если нужна устойчивость к блокам — поставьте xray+reality на мини‑ПК (если у вас публичный IP) либо разверните WireGuard на роутере для простоты.
3. Для удалённого рабочего стола — всегда через VPN/Tailscale, а не напрямую RDP.
4. Для минимальной ломки рабочего рабочего процесса — используйте split‑tunnel (route только нужное через Россию) либо прокси (SOCKS + PAC).
Если хотите — могу:
- Прислать пример конфигурации WireGuard для роутера и клиента с split‑tunnel.
- Прислать пример конфигов xray+reality (сервер+клиент) и PAC‑файл для браузера.
- Помочь проверить, в CGNAT вы или нет (что показывает ваш роутер vs внешний сервис).